quarta-feira, 27 de maio de 2009

Worm Conficker continua a infectar computadores em todo o mundo

O programa malicioso Conficker, também conhecido como Downadup ou Kido, foi descoberto pela primeira vez em Outubro de 2008, porém peritos advertem que ele ainda está se espalhando por pendrives e computadores sem atualizações de segurança.
A BBC consultou vários especialistas em segurança e estes informaram que o worm ainda continua a infectar computadores em todo o mundo e que semana passada foi descoberta uma nova variação do worm. A Microsoft informou que o Worm já infectou mais de 9 milhões de PCs no mundo, sendo o maior número deles na China, Brasil, Rússia e Índia.
Segundo a Microsoft, o worm trabalha procurando por um arquivo executável chamado “Services.exe” e torna-se parte do código. Em seguida faz uma cópia do arquivo no diretório Windows System com nome aleatório e extensão “dll” e modifica o registro do Windows para executar o arquivo dll infectado como um serviço.
Uma vez que o worm está instalado e funcionando, ele cria um servidor HTTP, reseta os pontos de restauraução do sistema (o que torna mais difícil a recuperação do sistema infectado), e em seguida, transfere os arquivos dos sites hackers. A maioria dos malwares utilizam sites pré-determinados para fazer o download de arquivos, o que os tornam fáceis de localizar, mas o Conficker trabalha de forma diferente, ele utiliza um complexo algoritmo para gerar centenas de nomes de domínio diferente a cada dia, tornando praticamente impossível rastrear o site de onde será feito o download.

Como se prevenir

Para evitar que o worm Conficker infecte seu computador você precisa manter seu antivírus atualizado e desativar o recurso “AutoRun”. Porém antes você precisa baixar manualmente a atualização para Windows XP , XP64 e Windows 2000 que corrige o desativamento do AutoRun no registro do Windows. Os usuários do Windows Vista podem pular esse passo, pois essa correção foi inserida nas atualizações automáticas.
Após baixar a atualização, instalá-la e reiniciar o computador, desative o AutoRun seguindo os passos abaixo:
  • Acesse o menu Iniciar > Executar, digite gpedit.msc e clique em OK
  • Em Diretivas de grupo acesse o item Configuração do Computador > Modelos Administrativos
  • Abra o item Sistema (no Windows Vista abra o item Componentes do Windows)
  • Encontre o item “Desativar AutoExecutar”, clique com o botão direito nele, marque a opção “Ativado”, selecione a opção “Todas as unidades”, clique em OK e reinicie o computador.
É importante ressaltar que a desativação do AutoRun o Windows não previne a contaminação por pendrive infectado ou por rede, para evitar esse tipo de infecção deve se manter o antivírus sempre atualizado.

Como verificar se o computador está infectado

O computador apresenta alguns sintomas quando está infectado pelo Conficker.
  • As diretivas de bloqueio de conta estão sendo ultrapassadas.
  • Atualizações Automáticas, Serviço de Transferência Inteligente em Segundo Plano (BITS), Windows Defender e Error Reporting Services estão desabilitados.
  • Os controladores de domínio respondem lentamente a solicitações de cliente.
  • A rede está congestionada.
  • Vários sites relacionados à segurança não estão acessíveis.
Se você já estiver contaminado deve usar a ferramenta de Remoção de Software Mal-intencionado, ou removê-lo manualmente seguindo as instruções no site da Microsoft
Fonte: Microsoft, BBC
Postado por às
Marcadores: ,

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)